网络中存在的问题:
可用的解决方案:
流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击。
在接口入方向上,设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。
在VLAN视图下,设备支持对广播报文按比特速率进行流量抑制。设备监控同一VLAN内广播报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。
流量抑制还可以通过配置阈值的方式对ICMP报文进行限速,防止大量ICMP报文上送CPU处理,导致其他业务功能异常。
流量抑制通过对不同类型的报文采取不同的限制措施,达到限制报文发送速率的目的。具体实施可分为以下三种情况:
(可选)配置流量抑制模式:
[Huawei] suppression mode { by-packets | by-bits }
缺省情况下,缺省的抑制模式为packets,在bits模式下,流量抑制的粒度更小、抑制更精确。
配置流量抑制:
[Huawei-GigabitEthe.NET0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression} { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }
接口下配置流量抑制时,抑制模式需与全局的流量抑制模式保持一致。
配置在接口出方向上阻塞报文:
[Huawei-GigabitEthernet0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression } block outbound
配置VLAN的广播抑制速率:
[Huawei-vlan2] broadcast-suppression threshold-value
display flow-suppression interface interface-type interface-number查看流量抑制配置信息。
配置要求:
Switch配置如下:
[Switch]suppression mode by-packets
[Switch-GigabitEthernet0/0/1] unicast-suppression 80
[Switch-GigabitEthernet0/0/1] multicast-suppression 70
[Switch-GigabitEthernet0/0/1] broadcast-suppression 60
配置验证:
[Switch]dis flow-suppression interface GigabitEthernet 0/0/1
storm type rate mode set rate value
-------------------------------------------------------------------------------
unknown-unicast percent percent: 80%
multicast percent percent: 70%
broadcast percent percent: 60%
-------------------------------------------------------------------------------
风暴控制可以用来防止广播、未知组播以及未知单播报文产生广播风暴。在风暴控制检测时间间隔内,设备监控接口下接收的三类报文的包平均速率与配置的最大阈值相比较。当报文速率大于配置的最大阈值时,风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口的处理。
流量抑制与风暴控制的主要区别是:风暴控制功能可以对端口下发惩罚动作(block和shutdown),而流量抑制功能只是对端口流量进行限制。
风暴控制与流量抑制相比的优势是可以同时监控接口下的广播报文、未知组播报文和未知单播报文各自的包平均速率,并根据阈值对接口采取阻塞相关报文或者关闭物理接口的惩罚动作。
本例中,Switch作为二层网络到路由器的衔接点,当需要限制二层网络转发过来的用户广播、未知组播和未知单播报文时,可以通过在Switch的GE0/0/1上配置风暴控制功能来实现。
配置接口对报文的风暴控制:
[Huawei-GigabitEthernet0/0/1] storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value
[Huawei-GigabitEthernet0/0/1] storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value
对接口上的广播、未知组播或未知单播报文进行风暴控制。
配置风暴控制的动作:
[Huawei-GigabitEthernet0/0/1] storm-control action { block | error-down }
配置风暴控制的检测时间间隔:
[Huawei-GigabitEthernet0/0/1] storm-control interval interval-value
配置使能接口状态自动恢复:
[Huawei-GigabitEthernet0/0/1] error-down auto-recovery cause storm-control interval interval-value
使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。
(可选)配置流量抑制及风暴控制白名单:
[Huawei] storm-control whitelist protocol { arp-request | bpdu | dhcp | igmp | ospf }*
Switch配置如下:
[Switch] storm-control whitelist protocol arp-request
[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control interval 90
[Switch-GigabitEthernet0/0/1] storm-control action block
[Switch-GigabitEthernet0/0/1] storm-control enable trap
#使能风暴控制上报告警
配置验证执行命令display storm-control interface查看GE0/0/1接口下的风暴控制配置情况:
[Switch]display storm-control interface GigabitEthernet 0/0/1
PortName Type Rate Mode Action Punish- Trap Log Int Last-
(Min/Max) Status Punish-Time
----------------------------------------------------------------------------------------------------------
GE0/0/1 Multicast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Broadcast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Unicast 1000 Pps Block Normal On Off 90
/2000
京公网安备 11010802035086号